starik-i-more
-
Публикации
126 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем starik-i-more
-
-
Nexus3064(config)# vlan 2-600 ERROR: VLAN creation failed : Maximum vlan limit reached for RSTP mode Nexus3064# conf t Enter configuration commands, one per line. End with CNTL/Z. Nexus3064(config)# spanning-tree mode mst Nexus3064(config)# vlan 2-600 Nexus3064(config-vlan)# Nexus3064(config-vlan)# exit Nexus3064(config)# vlan 2-900 Nexus3064(config-vlan)#
А может получится так?
spanning-tree mode pvst vlan 2-506 no spanning-tree vlan 1000-3000 vlan 2001-2500
т.е. создаем 507 кланов в rpvst доступных согласно мурзилке http://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus3000/sw/scalability/7x/b_Nexus3k_Verified_Scalability_7x/b_Nexus3k_Verified_Scalability_7x_chapter_01.html
и еще 500 вланов без rpvst
-
Можно попробовать подключиться через IPMIview
-
Инструкций "как установить Elastic Search, Logstash, Kibana" великое множество. И на сайте проекта тоже вполне понятные инструкции. Вот литература
http://www.allitebooks.com/?s=logstash
А какие действия с собранными логами вы планируете выполнять?
-
Опубликовано · Изменено пользователем starik-i-more · Жалоба на ответ
Как по мне все равно на чем. У меня развернуто на CentOS 7. Нагрузка скромная 5 тыс записей в час по syslog. Жрет 500MHz проца.
-
А с какими лицензиями и почем?
-
А чем обусловлен выбор таких параметров?
encr aes 256
hash sha512
Я бы попробовал aes 128 и sha1
-
И флаг DF можно очистить.
-
-
В пустом или дефолтном конфиге тоже тупит на команду /ip route export ?
А если просто /export то что происходит?
-
Для блокировки по спискам РКН используется Carbon Reductor
Исходящий трафик с _НЕСКОЛЬКИХ_ гигабитных аплинков на ASR-1002-х зеркалится на сервер с Carbon Reductor.
Зеркалирование настроено так
monitor session 10 type erspan-source source interface Gi0/0/3 - 5 tx destination erspan-id 10 mtu 1464 ip address 10.102.102.1 origin ip address 10.102.102.1 ! ! monitor session 20 type erspan-destination destination interface Gi0/0/2 source erspan-id 10 ip address 10.102.102.1 !
Суммарный _СРЕДНИЙ_ TX по аплинкам в ЧНН сейчас около 800Mbis/s. Интерфейс к которому подключен Carbon Reductor гигабитный. Соответственно на нем, растут output drops. И наверное иногда пакетики проскакивают мимо блокировки.
Анализ исходящего трафика показывает, что в нем 30-40% GRE.
Соответственно, если бы получилось отфильтровать GRE до попадания в destination интерфейс ERSPAN, нагрузка на него снизилась бы, дропы прекратились и еще полгода-год можно было бы не заморачиваться с установкой второго NIC в сервер с Carbon Reductor.
Попытка повесить ACL на destination интерфейс ERSPAN эффекта не дала. Чего и следовало ожидать.
ip access-list extended BLOCK-GRE deny gre any any permit ip any any ! interface GigabitEthernet0/0/2 description Mirroring-to-Carbon-Reductor no ip address ip access-group BLOCK-GRE out !
Других вариантов пока не придумалось/не нашлось.
-
долго думает ничего не выходит
Я бы сбросил конфиг и настроил по новой.
-
Пожалуйста, аргуменируйте это предположение.
-
При попытках пинговать с самого шлюза любой IP даже из его семента (т.е. напрямую без шлюза) говорит: no route to host
Покажите /ip route print и /ip route export
-
http://mum.mikrotik.com/presentations/RU16/presentation_3751_1475495910.pdf
28 страница.
Пока в стадии тестов. Имел возможность посчупать в работе.
Действительно шифрует аппаратно?
Какая производительность получается?
-
На MUM один из докладчиков говорил, что в mikrotik hex есть hardware encryption. Официального подтверждения нигде не нашел.
Кто то из владельцев HEX может потестировать производительность в ipsec aes128?
-
MES2324FB уже попал к Вам? Очень интересуют впечатления.
-
Да, такая проблема есть. Летом в 2 захода закупали 2 шт RB850Gx2. К сожалению в моем случае продавцы не знали старая или новая ревизия у них на складе. Но обе оказались с hw aes.
-
Можно добавить маршрут blackhole с таким же destination и routing-mark. Distance у него будет больше чем у маршрута через туннель. Таким образом когда туннель в статусе down, пакеты полетят в blackhole и не создадут nat connection через wan интерфейс.
-
http://download2.mikrotik.com/news/news_66.pdf
The RB850Gx2 devices are now shipped with a CPU that features Hardware Encryption Acceleration (serial numbers that start with “5”). Combined with up to date RouterOS version (6.28 or above), you will now be able to reach 500Mbps with AES128 encryption on this device.
Т.е. заказывается по-отдельности платформа и корпус, после собирается самостоятельно?Многие магазины продают их сразу комплектом. Мне кажется, что когда то приходило уже даже в сборе.
http://wifimag.ru/cat/mikrotik/ethernet_routery/mikrotik_routerboard_mrtgx2/
-
Интересно как у вас распределилась нагрузка между ядрами во время теста.
-
RB850Gx2 в новой ревизии получил аппаратную поддержку AES и может прожевать до 500 мегабит/с в ipsec с sha1 aes256.
Но wifi в нем нет.
-
Опубликовано · Изменено пользователем starik-i-more · Жалоба на ответ
зачем ECC ? его ж там нет. я такие вставил: http://www.kingston.com/dataSheets/KVR13N9S8_4.pdf.
Думаю, кому-то еще одно подтверждение добавит уверенности :)
Поставил в ASR-1002-X именно такие модули Kingston KVR13N9S8_4 в количестве 4-х шт.
Full view заработал.
2 недели полет нормальный.
-
Опубликовано · Изменено пользователем starik-i-more · Жалоба на ответ
И в новой HW у него добавился криптопроцессор.
http://download2.mikrotik.com/news/news_66.pdf
у меня на тесте показал прим 500Mbit/s ipsec aes-256-cbc
-
QWE
Если это мутная програмка, принимающая .xls-файл на вход...
А как можно сгенерировать требуемый xls из dump.xml? Может я плохо искал.. А то программка есть, а xls древний.
Как дать приоритет конкретному пользователю (группе)
в Mikrotik коммутаторы и маршрутизаторы
Опубликовано · Изменено пользователем starik-i-more · Жалоба на ответ
Имхо для того чтобы работали приоритеты очередей, очереди должны быть иерархическими. Сам толком не пробовал. Не было серьезной потребности.
Вот неплохая статья об очередях в routeros
https://m.habrahabr.ru/post/188718/